| Сейчас на форуме: ==DJ==[ZLO], Magister Yoda, Rio (+5 невидимых) |
 |
eXeL@B —› Основной форум —› Помогите разобраться что за зверь |
| Посл.ответ | Сообщение |
|
|
Создано: 16 ноября 2004 08:56 · Личное сообщение · #1 Люди, нужна помощь. Есть файлик .ехе (ссылка ниже), я не очень силён в методах защиты, но на сколько я понимаю он чем-то запакован и защищён от debug'a. Перепробовал почти все варианты - ничего не выходит. Пробовали автоматику - пишет с дебугом работать не буду, в ручную тоже ничего не выходит. Проблема состоит в том, чтобы его распаковать для того чтобы подкорректировать. Народ помогите, очень надо. Заранее спасибо. ugolok.eclub.lv/main.rar  |
|
|
Создано: 16 ноября 2004 09:15 · Личное сообщение · #2 ghostks пишет: Проблема состоит в том, чтобы его распаковать для того чтобы подкорректировать. Локализаторы? 
|
|
|
Создано: 16 ноября 2004 09:27 · Личное сообщение · #3 так и думал, что армадилка. я пасс 
|
|
|
Создано: 16 ноября 2004 09:59 · Личное сообщение · #4 Да, именно армадила 
О ней написано очёнь мало и довольно крепкая штука. NG Нет, это запускной файл одной игрушки который нужно подкорректировать (изменить кое какой код, это не суть важно). |
|
|
Создано: 16 ноября 2004 13:17 · Личное сообщение · #5 ghostks весёлый файлик =) Когда-то с него вручную сняли аспр, потом извратили, добавив секции (включая одну долбанутую секцию со дико большим значением Vsize, за которую бы руки надо поотрывать), ну и повесили арму. Сама амра снимается очень легко, т.к. она там в "слабом" варианте (двухбайтный копимем и усё... никаких илиминатионов и наномитов). Но вот потом сделать нормальный дамп было трудновато... секции вручную лепил... Короче читай какие-нить туторы по арме и доки по формату PE (чтобы сдампить =) ), там впринципе не сложно. ЗЫ и всё-таки интересно, что это за файлик, и кто с ним так извращался... |
|
|
Создано: 17 ноября 2004 02:29 · Личное сообщение · #6 Mario555 Именно в этом и была проблема. Оригинал файла был написан китайцами и зажат Аспром. После его разжали для простых смертных, чтобы можно было иправлять различные баги. Но один умник (тоже вроде китаец =) ), кое-что сделал и зажал снова, чтобы другим не досталось наверное. Вот хотелось бы узнать это самое "что-то". На сколько я понял ты смог его разжать, если не сложно кинь на мыло ghostks@inbox.lv Спасибо. |
|
|
Создано: 17 ноября 2004 13:35 · Поправил: Mario555 · Личное сообщение · #7 ghostks mario555.pisem.net/Unp_arm_game.rar mario555.pisem.net/Unp_arm_game.rar Правда насчёт работоспособности я не уверен, там ресурсы какие-то очень маленькие (если не ребилдеть, а прилепить армины секции, то будет надёжнее, но этот файл весит больше, поэтому я выложил тот, который весит меньше =) ). И вообще мало ли какие там подлянки есть... прога-то без файлов не запускается, а ты их не выложил (хотя я бы наверно и качать их не стал). |
|
|
Создано: 17 ноября 2004 13:44 · Личное сообщение · #8 бля, кривая ссылка получилась =) вообщем копипаст её (mario555.pisem.net/Unp_arm_game.rar) ;) 2BG: весёлая надпись: "Защита от спама: в течение 4 секунд вы можете отправить не более одного сообщения!" вот интересно, по каким часам эти 4 секунды измеряются ? и вообще нах было эту хрень ставить ? |
|
|
Создано: 17 ноября 2004 15:05 · Личное сообщение · #9 Mario555 Не пашет файл, выводит сообщение Entry point not found The procedure entry point RestoreLastError could not be located in the dynamic link library kernel32.dll А вообще в разжатом виде файл должен весить около 5мб. Вот примерно что должно получится. Эта неправленная версия того что должно быть, может поможет как нибудь. ugolok.eclub.lv/main_old_unpacked.rar |
|
|
Создано: 17 ноября 2004 15:20 · Личное сообщение · #10 ghostks пишет: А вообще в разжатом виде файл должен весить около 5мб ну хз, может он там криво распакованный (дампили вместе с нулями)... у меня даже с секциями пакера ~ 2.5 mb... ghostks пишет: The procedure entry point RestoreLastError could not be located in the dynamic link library kernel32.dll ну дык то, что у тебя в системе нет апи RestoreLastError - это твои проблемы =) я распаковывал в ХП, там она есть. Смени на SetLastError, тогда будет работать (надеюсь это ты сам сумеешь сделать)... |
|
|
Создано: 19 ноября 2004 09:04 · Поправил: ghostks · Личное сообщение · #11 Я тут нарыл один тутор на форуме: "http://www.mc707.nm.ru/Arma_OEP_and_Import.rar Тутор мой смотрите Он еще не доделан конечно, руки не доходят... Почти все армы по аналогии снимаются (те, которые copymem2 - 2 bytes without nanomites) " Ты по аналогии снимал защиту? P.S. ещё один подопытный ugolok.eclub.lv/npx970.exe =) |
|
|
Создано: 19 ноября 2004 10:54 · Поправил: Mario555 · Личное сообщение · #12 ghostks дык что, после правки апи всё-равно не работает ? Тогда там просто дополнительные проверки внутри кода проги... их можно искать только при возможности запуска проги (а качать ещё какие-то там файлы я не буду, ибо трафик не халявный =) ). Вообще арма там снята и по идее должно работать, по крайней мере файлик, который ты выложил создаёт папку с файлом npgl.erl и выдаёт мессагу по типу ***Data\Local\Text.bmd file not found***, так вот, мой распакованный делает тоже самое, из этого следует, что оно распаковано, прально ?! =) ghostks пишет: Ты по аналогии снимал защиту? Нет наверно, а что ? (я просто не помню, что там в туторе у MC707) |
|
|
Создано: 19 ноября 2004 11:11 · Личное сообщение · #13 Это нормальное сообщение если нету данных. Просто хотел узнать каким способом ты снимал защиту с этого файла и правил левые секции. Если не сложно сними арму и со второго файла
|
|
|
Создано: 20 ноября 2004 13:47 · Личное сообщение · #14 ghostks пишет: Если не сложно сними арму и со второго файла не, это уж ты как-нить сам... хорошего понемногу... =) |
|
|
Создано: 21 ноября 2004 05:07 · Личное сообщение · #15 Ok, если возникнут проблемы спрошу. |
|
|
Создано: 23 ноября 2004 11:30 · Личное сообщение · #16 Mario555 У меня не полчается найти OEP. Работаю с Олли. Запускаю, ставлю бряк на WriteProcessMemory ищу в дампе начало проги меняю 558B на EBFE, потом ставлю бряк на WaitForDebugEvent лечу в конец, правлю код на DebugActiveProcessStop. И тут самое интересное, запускаю второй Олли прыгаю в мой файл меняю обратно EBFE на 558B. А дальше ничего не получается. Дело в том что в туторе MC707 ставит бряк на первую секцию после PE (.text) и у него их 2, а у меня куча пустых секций и только 1 text. Подскажи как найти OEP. |
|
|
Создано: 23 ноября 2004 11:33 · Личное сообщение · #17 ghostks На следующую секцию после PE ставь бряк |
|
|
Создано: 23 ноября 2004 12:25 · Поправил: ghostks · Личное сообщение · #18 MC707 В том то и дело что там куча пустых секций: 2 без названия, с названием "0", потом 3 topo1,topo2,topo3. И все пустые. И только после идёт .text (я сейчас пытаюсь разжать последний файл, который я выложил). Кст, я смотрел твой тутор и там именно когда ты ставишь бряк на первую секцию ты что-то нажал только что? Мышка не двигалась. |
|
|
Создано: 23 ноября 2004 12:49 · Личное сообщение · #19 ghostks ну дык и ставь на первую после хедера... Хотя имхо лучше брякнутся на CreateThread и немного потрейсить (там call edi будет переходом к оеп). В случае с твоим первым файликом на оеп было типа jmp 1 1: jmp2 2: jmp 3 и т.д. потом jmp origOEP (оно будет в первой после хедера секции). |
|
|
Создано: 23 ноября 2004 23:55 · Поправил: MC707 · Личное сообщение · #20 ghostks пишет: Кст, я смотрел твой тутор и там именно когда ты ставишь бряк на первую секцию ты что-то нажал только что? Мышка не двигалась. Бряки клавишей F2 ставятся =) |
|
|
Создано: 24 ноября 2004 03:39 · Личное сообщение · #21 MC707 Как бряк ставится я знаю. Рассказываю по шагам, что у тебя было: Атачишься ко второму процессу Меняешь первые 2 байта на оригинал Открываешь карту памяти(красная строка перед заголовком нашей проги) Ставишь бряк на первую секцию после заголовка .... и что дальше происходит? крыса не двигается, красная строчка пропала, потом карта уходит назад и вылезает код (первая строка IN EAX,DX) Просто я замучился с сообщением что прога suspended, please resume бла бла. Ты что-то сделал (нажал паузу вроде), потом запустил прогу и она вывалилась по последнему бряку на секцию. По логике так. P.S. и раз уже ты сделал видео тутор (респект! очень помогает на начальных этапах =) ) то не пользуйся быстрыми клавишами а жми на кнопки крысой, потому что незнающим людям играть в "угадай, а что произошло?" довольно сложно. |
|
|
Создано: 24 ноября 2004 05:28 · Личное сообщение · #22 блин, а....
F9 - запуск проги |
|
|
Создано: 24 ноября 2004 08:56 · Личное сообщение · #23 ghostks пишет: Просто я замучился с сообщением что прога suspended, please resume бла бла Дык нужно все действия аттача делать в заново запущенном олли =) Тоесть если первый раз не получилось что-то, то нужно новою олли открывать и в ней аттач делать, иначе будет suspended... (почему так - хз, просто у меня тоже когда-то была проблема с этим suspended ;) вот решилась она как говорится методом проб и ошибок ). |
|
|
Создано: 24 ноября 2004 08:56 · Поправил: Mario555 · Личное сообщение · #24 ghostks ЗЫ а эти твои проги так вообще долбанутые, там олли ещё может виснуть из-за размера секции нулей ) |
|
|
Создано: 08 декабря 2004 09:13 · Личное сообщение · #25 Проблемы продолжаются, распакованный файл не работает. Прога запускается, потом через секунд 20 вылетает. Значит что-то некорректно разжато, только вот не знаю что. P.S. Второй процесс (тобишь распакованная прога) я открываю в новом Олли и всё равно иногда вылетает такая ошибка про suspended. |
|
|
Создано: 09 декабря 2004 10:55 · Личное сообщение · #26 А может быть такое, что если прогу распаковывают в ХРюше, то на остальных операционках она будет работать некорректно? Не в том плане, что она не запускается, а просто вылетает? |
|
eXeL@B —› Основной форум —› Помогите разобраться что за зверь |
Для печати